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Beschreibung 



EinrSumung eines Zugriffs auf ein computerbasiertes Objekt 

Die vorliegende Erf indung betrifft ein Verfahren zur EinrSu- 
mung eines Zugriffs auf ein computerbasiertes Objekt und ein 
Steuerungsprogramm zur Durchftthrung des Verfahrens. 

Durch unberechtigte Benutzung von Computerprogrammen entste- 
hen weltweit immense Schaden. Um diesem entgegenzuwirken, 
werden Losungen zum Schutz von Computerprogrammen vor unbe- 
rechtigter Benutzung entwickelt. 

Eine Ubermittlung verschltisselter Inf ormationen zur Aktivie- 
rung eines Computerprograrams dient einer Verhinderung von 
nicht autorisierten Vervielf Sltigungen des Computerprogramms, 
Entsprechende Verfahren dienen beispielsweise aufierdem als 
technische Voraussetzung, um Computerprogramme als Produkte 
tiber E-Coromerce zu vertreiben. Bei bisher bekannten Verfahren 
zur Aktivierung von Computerprogrammen werden Computerpro- 
gramme anhand jeweils eines Regis trierungsschltissels freige- 
schaltet. Fxir eine Freischaltung eines Computerprogramms wird 
der Registrierungsschltissel, der einer Computerprogrammlizenz 
fest zugeordnet ist, manuell eingegeben bzw. von einem Daten- 
treiger eingespielt. Insbesondere bei einer Vielzahl von auf 
unterschiedlichen Computern instqtXlierten Computerprogrammen 
resultiert hieraus ein hoher Addiriinist rat ions auf wand, der mit 
personalintensiven Bedien- und Warfeungsarbeiten verbunden 
ist • 

Aus EP 1 191 419 A2 ist Verfahren bekarint, bei dem vorgebbare 
Funktionen eines Computerprogramms f\ir eine wahlbare Nut- 
zungsdauer durch Modifikation eines Registrierungsschltissel- 
paares f reigeschaltet werden konnen. Das Regis trierungs- 
schltisselpaares weist zumindest eine gegentiber Benutzerzu- 
griffen gesperrten Teilinf ormation auf. Die f reizuschaltenden 
Funktionen mtissen nicht notwendigerweise bereits bei einer 
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Erstinstallation des Computerprogramms fur eine Freischaltung 
zur Verfugung gestanden^iaBen, " sondern konnen auch nachtrag- " 
lich hinzugewShlt werden. Zur Freischaltung ist kein Einsatz 
von Bedien- und Wartungspersonal am Ort des Computers erf or- 
5 derlich, auf der das jeweilige Computerprograinm installiert 
ist. 



Bestandteile des Registrierungsschlusselpaares entsprechend 
dem in EP 1 191 419 A2 beschriebenen Verfahren sind Applika- 

10 tionsinformationen und ein Applikationswert . Die Applikati- 
onsinformationen werden an einem ersten Computer eingegeben, 
auf der das zu regis trierende Computerprograinm installiert 
ist, bzw. durch den ersten Computer generiert. Der Applikati- 
onswert wird in einem zweiten Computer mittels Codierung aus 

15 den Applikationsinformationen berechnet. 




Bei einer Registrierung eines Computerprogramms oder einer 
Anderung der Registrierung werden erste Applikationsinforma- 
tionen mit zumindest einer gegenuber Benutzerzugrif f en ge- 

20 sperrten Teilinf ormation an den zweiten Computer ubermittelt. 
Im zweiten Computer wird aus den ersten Applikationsinforma- 
tionen ein Applikationswert berechiiet, ... der^nachf olgend- -an- den" " ' 
ersten Computer Ubermittelt wird. Mittels Decodierung werden 
im ersten Computer aus dem Applikationswert zweite Applikati 

25 onsinformationen ermittelt. Die ersten und die zweiten Appli 
kationsinformationen werden bei einem Ausfuhrungsbeginn des 
Computerprogramms auf Ubereinstimmung- i'lb^rpruft. In Abhangig 
keit .der sich bei der Uberpriif ung ergeh-sadan Abweichungen 
werden vorgebbare Funktionen des Computerprogramms freigo- 

30 schal ret. 
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Diese Aufgabe wird erf indungsgema£ durch ein Verfa hrenjnit 

de^rtfrWspWcR-inG&xcn grh~13teuerungsprogramm mit den in An- 
spruch 10 angegebenen Merkmalen gel6st. Vorteilhafte Ausge- 
staltungen der vorliegenden Erfindung sind in den abhangigen 
Anspruchen angegeben. 

ErfindungsgemaS resultiert ein erhohter Schutz vor unberech- 
tigter Benutzung von in einer Recheneinrichtung bereitge- 
stellten Ressourcen daraus, daS als eine Voraussetzung zur 
Einraumung eines Zugriffs auf ein computerbasiertes Objekt 
eine Speicherkarte mit einem Programmcodeprozessor und eine 
Lizenzinformation bereitgestellt werden. Auf der Speicherkar- 
te sind zumindest ein der Speicherkarte zugeordneter offent- 
licher und privater Schliissel abgespeichert . Die Lizenzinfor- 
mation umfafit zumindest einen mittels des der Speicherkarte 
zugeordneten Sffentlichen Schlussels verschlusselten Lizenz- 
code und wird an einer den Zugrif f auf das computerbasierte 
Objekt steuemden Recheneinrichtung bereitgestellt. 

Erf indungsgemafc wird aus einer von der Speicherkarte gene- 
rierten ersten Zufallszahl und aus einer durch die Rechenein- 
richtung bereitgestellten zweiten Zufallszahl ein symmetri- 
scher Schlussel. erzeugt, der far die Speicherkarte und die 
Recheneinrichtung zuganglich gemacht wird. Der verschlusselte 
Lizenzcode und eine mit einem unter Verwendung des symmetri- 
schen Schlussels verschlusselten Hash-Wert versehene Angabe 
einer von der Speicherkarte aus zuf uhr enden Funktion zur Ent- 
schlusselung des Lizenzcodes werden an die Speicherkarte 
tibermittelt. Der verschlusselte Hash-Wert wird von der Spei- 
cherkarte entschltisselt und mit einem fur die Angabe der von 
der Speicherkarte auszufuhrendeh Funktion berechneten Hash- 
Wert auf ubereinstimmung ttberpruf t . Bei positivem Oberpru- 
fungsergebnis wird die Funktion zur Entschlusselung des Li- 
zenzcodes durch die Speicherkarte ausgefuhrt und ein ent- 
i schlussel ter Lizenzcode an die Recheneinrichtung ubermittelt. 
Der entschlusselte Lizenzcode wird dann zumindest temporar 
zum Zugriff auf das computerbasierte Objekt bereitgestellt. 
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Unter Rechenelnr i chtung s i"na"be i sp ie 1 swe i se bhrie Beschf Snkung" 
der Allgemeinheit dieses Begriffs PCs, Notebooks, Server, 
PDAs , Mobil telef one, Geldautomaten, Steuerungsmodule in der 
5 Automatisierungs-, Fahrzeug-, Kommunikations- oder Medizin- 
technik zu verstehen - allgemein Einrichtungen, in denen Com- 
puterprogramme ablaufen kdnnen* Des weiteren sind computerba- 
sierte Objekte beispielsweise ohne Beschrankung der Allge- 
meinheit dieses Begriffs Betriebssysteme, Steuerungs- oder 
10 Anwendungsprogramme , durch Betriebssysteme, Steuerungs- oder 
Anwendungsprogramme bereitgestellte Dienste, Leistungsmerkma- 
le, Funktionen oder Prozeduren, Zugrif f srechte auf Periphe- 
riegerSte sowie auf einem Speichermedium bef indliche Daten. 

15 Entsprechend einer vorteilhaf ten Weiterbildung der vorliegen- 
den Erfindung wird der 6f fentliche Schltissel der vertrauens- 
wiirdigen Instanz vor Manipulationen geschiitzt an der Rechen- 
einrichtung bereitgestellt . AuSerdem ist die Lizenzinf ormati- 
on mittels eines privaten Schliissels der vertrauenswttrdigen 

20 Instanz digital signiert. Die digitale Signatur der Lizenzin- 
formation kann somit in der Recheneinrichtung anhand des 6f- 
fentlichen Schliissels der ver trauenswUrdigen_Ins-t.anz- -ttber- 
pruf t -werden Auf "diese Weise kann eine vertrauenswtirdige und 
sichere Ubermittlung der Lizenz information zur Recheneinrich 

25 tung gewShrleistet werden. 

Der entschltisselte Lizenzcode kann rait einem unter Verwendung 
des symmetrischen Schliissels verschliisselten Hash-Wert verse- 
hen werden. Der vers chilis s el te Hash-Wert des ents chilis selten 
30 Iiiscnzcode?? V:=rm dcmn ixi O.ex Kecneneinrichtung entschliisselt 
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Vorzugsweise ist der symmetrische Schltissel nur fto einen Zu- 
-gri^s-el-HrSu ffiungsvorgang gu TtTg ufrd "wIra"Sei" neder Zugriffs- 
anforderung neu erzeugt. Dies tragt zu einer weiteren Erh6- 
hung der Sicherheit gegentiber Manipulationsversuchen bei . 

Vorteilhafterweise umfafct die Dizenzinformation zusatzlich 
den der Speicherkarte zugeordneten 6ff entlichen Schltissel. 
Des weiteren wird die erste Zufallszahl mittels des der Spei- 
cherkarte zugeordneten privaten Schltissels digital signiert 
an die Recheneinrichtung tibermittelt wird. Die digitale Si- 
gnatur der ersten Zufallszahl wird dann in der Recheneinrich- 
tung anhand des der Speicherkarte zugeordneten 6ff entlichen 
Schltissels tiberprtift. Die zweite Zufallszahl wird mittels des 
offentlichen Schlussels der Speicherkarte verschltisselt an 
die Speicherkarte tibermittelt und dort entschliisselt . Diese 
Weiterbildung bietet den Vorteil einer gesicherten Ubertra- 
gung der ersten und zweiten Zufallszahl zur Erzeugung des 
symmetrischen Schlussels. 

Entsprechend einer weiteren vorteilhaf ten Ausgestaltung der 
vorliegenden Erfindung werden der verschltisselte Lizenzcode 
und die mit dem verschlUsselten Hash-Wert versehene Angabe 
der von der Speicherkarte auszuftihrenden Funktion iiber eine 
gesicherte Kommunikationsverbindung von der Recheneinrichtung 
tiber eine Leseeinrichtung an die Speicherkarte tibermittelt. 
Hierdurch werden Manipulationsmdglichkeiten zur unberechtig- 
ten Erlangung des Zugriffs auf das computerbasierte Objekt 
weiter eingeschrankt. - 

30 Vorteilhafterweise wird durch die Speicherkarte eine dritte 
Zufallszahl erzeugt und diese an die Recheneinrichtung tiber- 
mittelt. Durch die Recheneinrichtung kann dann ftir die Angabe 
der von der Speicherkarte auszuftihrenden Funktion ein Hash- 
Wert, der mittels des symmetrischen Schltissels und der drit- 

35 ten Zufallszahl verschltisselt wird, berechnet und verschltis- 
selt an die Speicherkarte tibermittelt werden. Der mittels des 
symmetrischen Schltissels und der dritten Zufallszahl ver- 
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schlttsselte Hash-Wert wird schlie&lich durch die Speicherkar- 

te entschliisselt und" itiit" eiiigm - fur"di'e Angabe der von der 

Speicherkarte auszuftthrenden Funktion berechneten Hash-Wert 
auf tfcereinstimmung uberprtift. Hierdurch ergibt sich ein 
wirksamer Wiederho lungs schutz, so da& ein Abfangen von zwi- 
schen der Speicherkarte und der Recheneinrichtung ausge- 
tauschten Signalen keine wirksamen ManipulationsmSglichkeiten 
er6ffnet. Aufierdem bietet diese Ausgestaltung bietet den Vor- 
teil, dafi verftigbare Secure-Messaging-Verf ahren far eine 
Ubermittlung eines entsprechenden Funktionsauf ruf s zur Ent- 
schltis selling des Lizenzcodes verwendet werden kOnnen. 

Zur Gewahrleistung eines Wiederho lungs schutzes in bezug auf ^ 
eine Ubermittlung des entschliisselt en Lizenzcodes an die Re- 
cheneinrichtung wird entsprechend einer weiteren Ausgestal- 
tung in der Recheneinrichtung eine vierte Zufallszahl erzeugt 
und diese an die Speicherkarte iibercnittelt . Durch die Spei- 
cherkarte wird dann fur den entschlusselten Lizenzcode ein 
Hash-Wert, der mittels des symmetri schen Schlussels und der 
vierten Zufallszahl verschlusselt wird, berechnet und ver- 
schltisselt an die Recheneinrichtung tibermittelt* Der mittels 
des symmetrischen Schltissels und der vierten _ Zuf al 1 s z ahl -ver — 
-schl-tL^selxe^'Hasli-Wert kann anschlieSend in der Recheneinrich- 
tung entschliisselt und mit einem fiir den entschlusselten Li-^ 
zenzcode berechneten Hash-Wert auf Ubereinstimmung uberprtift^ 
werden. 

Entsprechend einer bevorzugten Ausgestaltung der vorliegenden 
Erfindung werden zur Einraumung des Zugrif fs auf das compu- 
terhasisrte ribjekt de^r entsciiliisseite Lisenscode. und ein 
Oberp rti f ung spro rr efer- ' - 1 ?vf t e-i^eir- W~^±li c;--r^ So II -"-—2.-1" 
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Die vorliegende Erf indung wird nachfolgend an ;^ en ^ Aus£ah ". 
^xm^\T^V'^~^^^^ d ^^ ictmung naher eriautert . 



10 



Es zeigt die Figur eine schematische Darstellung eines Anwen- 
dungsumfeldes der vorliegenden Erfindung mit einem Informa- 
tions- und Meldungsaustausch zwischen einer vertrauenswttrdi- 
gen Instanz, einer den Zugriff auf ein computerbasiertes Ob- 
jekt steuernden Recheneinrichtung und einer Speicherkarte mit 
Programmcodeprozessor . 

Das in der Figur dargestellte Anwendungsumf eld der vorliegen- 
den Erfindung umfaSt eine vertrauenswiirdige Instanz 10, einen 
Computer 20, ein mit dem Computer 20 verbundenes Smartcard- 
Terminal 30, in das eine Smartcard 40 einftihrbar ist. Die 
15 vertrauenswiirdige Instanz 10 kann beispielsweise einem Her- 
steller einer gegen unberechtigten Zugriff zu schtttzenden 
Software zugeordnet sein und ttbemimmt eine Verwaltung von 
Lizenzen und zu Smartcards zugeordnetem Schlttsselmaterial . 
Der vertrauenswttrdigen Instanz 10 ist femer ein asymmetri- 
20 sches Schlttsselpaar 11 zugeordnet, das einen privaten und ei- 
nen offentlichen Schlttssel umfafct. Zur Abspeicherung des zu 
Smartcards zugeordnetem Senilis selmaterial ist eine Datertbasis 
12 vorgesehen, welche offentliche Schlttssel auszulief ernder 
bzw. bereits ausgelief erter Smartcards enthait . 



Durch den. Computer 20 werden fttr einen oder mehrere Benutzer 
Systemressourcen 22 verfttgbar gemacht, die beispielsweise 
Programme oder Speicherbereiche mit Daten umfassen. Das bier 
beschriebene Verfahren zur Einraumung eines Zugrif fs auf ein 
30 computerbasiertes Objekt ist grundsatzlich auf beliebige Sy- 
stemressourcen anwendbar. Der Computer 20 steuert insbesonde- 
re einen Zugriff auf die Systemressourcen 22, die im vorlie- 
genden Fall auch Software des Herstellers umfassen, welchem 
die vertrauenswiirdige Instanz 10 zugeordnet ist. Des weiteren 
35 wird der Sffentliche Schlttssel 21 der vertrauenswttrdigen In- 
stanz 10 vor Manipulation geschtttzt am Computer 2 0 bereitge- 
stellt . 
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Miir dem-eompxrtrer— 2V ' is t das " Smartcard^e^i^^ 

gesicherte Kommunikationsverbindung verbunden. Das Smartcard- 
Terminal 30 dient zum Informations- und Meldungsaustausch 
5 zwischen dem Computer 20 und einer in das Smartcard-Terminal 
30 einftihrbaren Smartcard 40, die eine Speicherkarte mit ei- 
nem Programmcodeprozessor darstellt. Auf der Smartcard 40 ist 
ein der Smartcard 40 zugeordnetes asymmetrisches Schlussel- 
paar 41 abgespeichert , das einen offentlichen und einen pri- 

10 vaten Schlussel der Smartcard 40 umfaSt. AuSerdem ist auf der 
Smartcard 40 zumindest ein Programm vorgesehen zur Ver- und 
Entschltisselung unter Nutzung des asymmetrischen Schlussel- m 
paares 42 der Smartcard 40. Dartiber hinaus verfugt die Smart-J 
card 40 iiber einen Zuf allszahlengenerator und ist vorzugswei- 

15 se konform zu ISO 7816/8, 

Am Computer 20 wird eine von der vertrauenswurdigen Instanz 
10 erstellte Lizenzinf ormation 1 bereitgestellt . Die Lizen- 
zinformation 1 umfaSt einen mittels des der Smartcard 40 zu- 
20 geordneten offentlichen Schlttssels verschlusselten Lizenzcode 
(enc_SC (licencecode) ) und den der Smartcard 40 zugeordneten 
offentlichen Schltissel (pub__SC) . Des weiteren _ist. die-Lizen— 
zixif ormation T mittels des privaten Schltissels der vertrau- 
enswurdigen Instanz 10 digital signiert (sig_TP) , so daS die 
25 digitale Signatur der Lizenzinf ormation 1 im Computer 20 an-r 
hand des offentlichen Schltissels 21 der vertrauenswurdigen 
Instanz 10 tiberprxift werden kann. - ' 

Zur Erzeugung eines symmetrischen Schltissels (K) 24, 43, der 
30 nur fur einen Zugrif f seixjucaumuixgsx^organg gultig 5_st und bei 
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derung kann die erste Zufallszahl auch mit dem privaten 




Scfa-lttesH-r-Tigr-SKiaT Ctcard 40 - d im"t"aT-sxgnxer€-an den Computer 

20 ttbermittelt und dort verifiziert werden werden. 

5 Nach Empfang der ersten Zufallszahl erzeugt der Computer 20 
eine zweite Zufallszahl (rand2) und ttbermittelt diese unter 
Anwendung von Secure-Messaging durch ein mit dem 6f fentlichen 
Schlttssel der Smartcard 40 verschlttsseltes Mutual -Authenti- 
cate-Kommando 3a ( SM_enc_SC (Mut Auth ( ) ) ) an die Smartcard 40. 
10 Das Mutual-Authenticate-Kommando 3a umfafit die zweite Zu- 
fallszahl sowie einen zur ersten Zufallszahl unter Verwendung 
eines weiteren symmetrischen Schlttssels (S) 23, 42 gebildeten 
Message-Authentification-Code (MAC_S) . Der weitere symmetri- 
sche Schlttssel 23, 42 ist sowohl im Computer 20 als auch auf 
15 der Smartcard 40 gespeichert, dient einer gegenseitigen Au- 

thentifizierung zwischen dem Computer 20 und der Smartcard 40 
und braucht nicht notwendigerweise geheim gehalten zu werden. 
Der zur ersten Zufallszahl gebildete Message-Authentifica- 
tion-Code umfaSt neben der ersten Zufallszahl einen fur die 
20 erste Zufallszahl gebildeten und mit dem weiteren symmetri- 
schen Schlttssel 23, 42 verschlttsselten Hash-Wert . 

Zur Bestatigung einer erf olgreichen Entschltisselung des Mutu- 
al-Authenticate-Kommandos sowie Uberpriifung des Message- 
Authentification-Codes und damit des Empfangs der zweiten Zu- 
fallszahl wird eine Bestatigungsmeldung 3b an den Computer 20 
ubermittelt. Somit ist sichergestellt, daft die erste und 
zweite Zufallszahl sowohl im Computer 20 als auch auf der 
Smartcard 40 zur Erzeugung des symmetrischen Schliissels 24, 
30 43 vorliegen. Die Erzeugung des symmetrischen Schlttssels er- 
folgt dann im Computer 20 und auf der Smartcard 40 unabhangig 
voneinander. Der symmetrische Schlussel 24, 43 ist somit so- 
wohl im Computer 20 als auch auf der Smartcard 40 zumindest 
far die Dauer eines Zugrif f seinraumungsvorgangs verfugbar. 
35 Durch die Erzeugung des symmetrischen Schlttssels 24, 43 ist 

eine Grundlage dafttr gelegt, spater einen Funktionsauf ruf zur 
Entschlusselung des Lizenzcodes (PSO_DEC - perform securxtxy 
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operation mode decrypt, angewendet auf den mittels des 6f- 

fen-t lichen- Schiassel^^der~*SmBX«5HTd''40 verschltisselteiTXi" 

zenzcode) unter Anwendung von Secure-Messaging an die Smart- 
card 40 zu tibermitteln. 

5 

Nachfolgend wird die Smartcard 40 zur Realisierung eines Wie- 
derholungsschutzes mittels einer Anf orderungsmeldung 4a 
(GetChallenge) des Computers 20 zur Erzeugung einer dritten 
Zufallszahl (rand3) auf gef ordert . Nach Erzeugung der dritten 

10 Zufallszahl durch die Smartcard 40 wird die Anf orderungsmel- 
dung 4a durch Ubermittlung einer Ergebnismeldung 4b (rand3) 
mit der dritten Zufallszahl beantwortet. AnschlielSend wird im 
Computer 20 eine vierte Zufallszahl (rand4) erzeugt und diese 
mittels einer Meldung 5a (GiveRandom) an die Smartcard 40 

15 ubermittelt. Von der Smartcard 40 wird der Empfang der vier- 
ten Zufallszahl durch eine Best&tigungsmeldung 5b quittiert. 

Nach quittierter Ubermittlung der vierten Zufallszahl wird 
eine Meldung 6a zur Entschltisselung des Lizenzcodes vom Com- 

20 puter 20 an die Smartcard 40 tibermittelt . Die Meldung 6a zur 
Entschltisselung des Lizenzcodes umfaSt neben dem verschltis- 
selten Lizenzcode eine Angabe einer von jier Smar.t.car.d..-40 aus- 

- - zuf vShrenden r^unkfcionT zur Entschltisselung des Lizenzcodes, Die 

Angabe der von der Smartcard 40 auszuftihrenden Funktion ist 

25 mit einera Hash-Wert versehen, der mittels des symmetrischen 
Schltissels 24, 43 und der dritten Zufallszahl verschlusselt 
ist. Der mittels des symmetrischen Schltissels 24, 43 und der 
dritten Zufallszahl verschltisselte Hash-Wert wird anschlie- 
fiend durch die Smartcard 40 entschlusselt und mit einem ftir 

30 die Angabe der ^cn dc^r Cmax Lcax: & 40 aus suf u b r enden Funlction 
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rechnet die Smartcard 40 far den entschlusselten Lizenzcode 

^i^en-Hash-Wertrr^er-w 

43 und der vierten Zufallszahl verschliisselt wird. Dieser 
verschlusselte Hash-Wert wird zusammen mit dem entschltissel- 
ten Lizenzcode an den Computer 20 tibermittelt. Dort wird der 
Hash-Wert anschliefcend mittels des symmetrischen Schlussels 
24, 43 und der vierten Zufallszahl entschlttsselt und mit ei- 
nem fur den entschlusselten Lizenzcode berechneten Hash-Wert 
auf Ubereinstimmung uberpruft. 

Bei Ubereinstimmung der Hash-Werte wird der entschltisselte 
Lizenzcode zumindest temporar zum Zugriff auf die geschutzte 
Software bzw. ein computerbasiertes Objekt bereitgestellt . Urn 
denkbare ManipulationsmSglichkeiten auszuschliefcen, sollten 
der entschltisselte Lizenzcode und ein UberprttfungsprozeSver- 
lauf mit einer jeweiligen Soll-Vorgabe vor Einraumung des Zu- 
griff s auf die geschutzte Software abgeglichen werden. Bei 
erfolgreichem Abgleich kann dann der Zugriff eingeraumt wer- 
den. 

Die Steuerung des Ablauf s des Verfahrens zur Einraumung eines 
Zugriffs auf geschutzte Software bzw. ein computerbasiertes 
Objekt ist durch ein Steuerungsprogramm implement iert, das in 
einem Arbeitsspeicher des Computers 20 ladbar ist und zumin- 
dest ein Codeabschnitt aufweist, bei dessen Ausfuhrung zu- 
nachst eine Erzeugung eines symmetrischen Schiassels aus ei- 
ner von einer Speicherkarte mit e*inem Programmcodeprozessor 
generierten ersten Zufallszahl -und aus einer durch die Re- 
cheneinrichtung bereitgestellten zweiten Zufallszahl veran- 
laSt wird. Ferner wird eine Ubermittlung eines mittels des 
der Speicherkarte zugeordneten 6f fentlichen Schltissels ver- 
schliisselten Lizenzcodes und einer mit einem unter Verwendung 
des symmetrischen Schlussels verschlusselten Hash-Wert verse- 
henen Angabe einer von der Speicherkarte auszuftihrenden Funk- 
tion zur Entschiasselung des Lizenzcodes an die Speicherkarte 
veranlafct. Des weiteren wird bei Ausfuhrung eine Entschlusse- 
lung des verschiasselten Hash-Werts durch die Speicherkarte 
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und eine Uberprufung auf Obereinstimmung mit einem fur die 

.. Ang-abe- der^on~der~Speicherkart:e ~auszuf\ifrrenden FunK€~i"on' be- 

rechneten Hash-Wert veranlaSt. Bei positivem Uberprttfungser- 
gebnis werden dann eine Ausfuhrung der Funktion zur Ent~ 
5 schliisselung des Lizenzcodes durch die Speicherkarte und eine 
Ubermittlung eines verschltisselten Lizenzcodes an den Compu- 
ter 20 veranlaSt. SchlieSlich wird bei Ausfiihrung des Codeab- 
schnittes der entschltisselte Lizenzcode zumindest tempor£Lr 
zum Zugriff auf das computerbasierte Objekt durch den Compu- 
10 ter 20 bereitgestellt , wenn das Steuerungsprogramm im Compu- 
ter 20 abiauft. 

Die Anwendung der vorliegenden Erfindung ist nicht auf das 
hier beschriebene Ausfuhrungsbei spiel beschrankt. 
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Patentanspriiche 




1. verfahren zur Einraumung eines Zugriffs auf ein computer- 

basiertes Objekt, bei dem 
5 - eine Speicherkarte mit einem Programmcodeprozessor bereit- 
gestellt wird, auf der zumindest ein der Speicherkarte zu- 
geordneter 6f fentlicher und privater Schlussel abgespei- 
chert sind, 

- eine Li zenz information, die zumindest einen mittels des 
10 der Speicherkarte zugeordneten offentlichen Schlussels 

verschliisselten Lizenzcode umfa&t, an einer den Zugriff 
auf das computerbasierte Objekt steuemden Recheneinrich- 
tung bereitgestellt wird, 

- aus einer von der Speicherkarte generierten ersten Zu- 
15 fallszahl und aus einer durch die Recheneinrichtung be- 

reitgestellten zweiten Zufallszahl ein symmetrischer 
Schlussel erzeugt wird, der fur die Speicherkarte und die 
Recheneinrichtung zuganglich gemacht wird, 
. der verschlttsselte Lizenzcode und eine mit einem unter 
20 verwendung des symmetrischen Schlussels verschliisselten 

Hash-Wert versehene Angabe einer von der .Speicherkarte 
auszufuhrenden Funktion zur Entschliisselung des Lizenz- 
codes an die Speicherkarte ubermittelt werden, 

- der verschlttsselte Hash-Wert von der Speicherkarte ent- 
schlusselt und mit einem fur die Angabe der von der Spei- 
cherkarte auszufuhrenden Funktion berechneten Hash-Wert 
auf ubereinstimmung tiberpruft wird, 

- bei positivem uberprufungsergebnis die Funktion zur Ent- 
schliisselung. des Lizenzcodes durch die Speicherkarte aus- 

30 gefiihrt und ein entschliisselter Lizenzcode an die Rechen- 

einrichtung ubermittelt wird, 

- der entschliisselte Lizenzcode zumindest temporar zum Zu- 
griff auf das computerbasierte Objekt bereitgestellt wird 




35 2. Verfahren nach Anspruch 1, 

bei dem der dffentliche Schlussel der vertrauenswiirdigen In- 
stanz vor Manipulationen geschutzt an der Recheneinrichtung 
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bereitgestellt wird, bei dem die Lizenzinf ormation mittels 

eines priva1ren~Schlna^^ ' Ifxs tariz~3x - 

gital signiert ist, und bei dem die digitale Signatur der Li- 
zenzinf ormation in der Recheneinrichtung anhand des 6ffentli- 
5 chen Schltissels der vertrauenswtirdigen Instanz liberprtift 
wird. 

3 . Verf ahren nach einem der Ansprtiche 1 oder 2 , 

bei dem der entschltisselte Lizenzcode mit einem unter Verwen 
10 dung des symmetrischen Schltissels verschlusselten Hash-Wert 
versehen wird, und bei dem der verschlusselte Hash-Wert des 
entschltisselten Lizenzcodes in der Recheneinrichtung ent- 
schlusselt und mit einem ftir den entschltisselten Lizenzcode 
berechneten Hash-Wert auf ttbereinstimmung tiberprtift wird, 

15 

4. Verf ahren nach einem der Ansprtiche 1 bis 3, 

bei dem der symmetrische Schltissel nur ftir einen Zugriffsein 
raumungsvorgang gtiltig ist und bei jeder Zugrif f sanf orderung 
neu erzeugt wird. 

20 

5. Verf ahren nach einer der Ansprtiche 1 bis 4, 

bei dem _ _.. 

- die - Lizenzinf drmatibri " zusatzl ich den der Speicherkarte zu- 

geordneten 6ffentlichen Schltissel umfaSt, 
25 - die erste Zufallszahl mittels des der Speicherkarte zuge- 
ordneten privaten Schltissels digital signiert an die Re- 
cheneinrichtung ubermitJ~p1 1 wk47 — 

- die digitale Sign.atur der ersten Zufallszahl in der Re- 
cheneinrichtung anhand des der Speicherkarte sugeordneten 
3 0 <3f fentlichea Schlus2S.ic ilberpraZc wira ? 
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versehene Angabe der von der Speicherkarte auszuftihrenden 
_ — — Fu-nk-fe-ion -tiber-erae-gesi-cherte— Kommun±^ 

der Recheneinrichtung tiber eine Leseeinrichtung an die Spei- 
cherkarte abenaittelt werden. 

5 

7 . Verf ahren nach einem der Ansprtiche 1 bis 6 , 
bei dem durch die Speicherkarte eine dritte Zufallszahl er- 
zeugt und diese an die Recheneinrichtung tibermittelt wird, 
bei dem durch die Recheneinrichtung fur die Angabe der von 
10 der Speicherkarte auszuftihrenden Funktion ein Hash-Wert, der 
mittels des symmetrischen Schltissels und der dritten Zufalls- 
zahl verschlttsselt wird, berechnet und verschlusselt an die 
Speicherkarte ubermittelt wird, und bei dem der mittels des 
symmetrischen Schltissels und der dritten Zufallszahl ver- 
15 schltisselte Hash-Wert durch die Speicherkarte entschliisselt 

und mit einem fur die Angabe der von der Speicherkarte auszu- 
ftihrenden Funktion berechneten Hash-Wert auf Ubereinstimmung 
tiberprtift wird. 

8 . Verf ahren nach Anspruch 7 , 

bei dem in der Recheneinrichtung eine vierte Zufallszahl er- 
zeugt und diese an die Speicherkarte Ubermittelt wird, bei 
dem durch die Speicherkarte far den entschliisselt en Lizenz- 
code ein Hash-Wert, der mittels des symmetrischen Schltissels 
und der vierten Zufallszahl verschlusselt wird, berechnet und 
vers.chltisselt an die Recheneinrichtung ubermittelt wird, und 
bei dem der mittels des symmetrischen Schltissels und der 
vierten Zufallszahl verschltisselte Hash-Wert in der Rechen- 
einrichtung entschliisselt und mit einem fiir den entschltissel- 
ten Lizenzcode berechneten Hash-Wert auf Ubereinstimmung 
tiberpriift wird. 

9 . Verf ahren nach einem der Ansprtiche 1 bis 8 , 
bei dem zur Einraumung des Zugriffs auf das computerbasierte 
35 Objekt der entschliisselte Lizenzcode und ein Uberprtifungspro- 
zeSverlauf mit einer jeweiligen Soll-Vorgabe abgeglichen wer- 
den. 
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10 . S.teue^urag-sp-rograinia> das in--ei?ien-:^^ 

Recheneinrichtung ladbar ist und zumindest einen Codeab- 
schnitt aufweist, bei dessen Ausfiihrung 
5 - eine Erzeugung eines symmetrischen Schltissels aus einer 
von einer Speiclierkarte mit einem Prograramcodeprozessor 
generierten ersten Zufallszahl und aus einer durch die Re- 
cheneinrichtung bereitgestellten zweiten Zufallszahl ver- 
anlafit wird, 

10 - eine Ubermittlung eines mittels des der Speicherkarte zu- 
geordneten of f entlichen Schlussels verschlusselten Lizenz- 
codes und einer mit einem unter Verwendung des symmetri- 
schen Schlussels verschlusselten Hash-Wert versehenen An- 
gabe einer von der Speicherkarte auszufvihrenden Funktion 

15 zur Ent schl us se lung des Lizenzcodes an die Speicherkarte 

veranlaSt wird, 

- eine Entschltisselung des verschlusselten Hash-Werts durch 
die Speicherkarte und eine tfberpriifung auf Ubereinstimmung 
mit einem fur die Angabe der von der Speicherkarte auszu- 

20 fiihrenden Funktion berechneten Hash-Wert veranlafet wird, 

- bei positivem (Jberprufungsergebnis eine Ausfuhrung der 
Funktion zur Entschltisselung des Lizenzcodes durch die 

_ ? . - Speicherkarte ~urid~ eine" eines entschlusselten 

Lizenzcodes an die Recheneinrichtung veranlaSt werden, 
25 - der entschltisselte Lizenzcode zumindest temporfir zum Zu- 

griff auf das computerbasierte Objekt durch die Rechenein- 
richtung bereitgestellt wird, 
wenn das Steuerungsprogramm in der Recheneinrichtung ablauft 



> 
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Zus ammenf as sung 



Einraumung ernes 



Zugriffs auf ein computerbasiertes Objekt 



5 Zur Einraumung eines Zugriffs auf ein computerbasiertes Ob- 
jekt wird eine Speicherkarte mit einem Programmcodeprozessor 
bereitgestellt, auf der zumindest ein der Speicherkarte zuge- 
ordneter of fentlicher und privater Schlussel abgespeichert 
sind. AuSerdem wird eine Li zenz information bereitgestellt, 
10 die zumindest einen mittels des der Speicnerkarte zugeordne- 
ten Sffentlichen Schlttssels verschlusselten Lizenzcode um- 
fafit, an einer den Zugriff auf das computerbasierte Objekt 
steuernden Recheneinrichtung. 
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